Der EU Cyber Resi­li­ence Act: Mehr Cyber­se­cu­ri­ty für Produkte?

Die EU-Kommission will noch die­ses Jahr einen Vor­schlag für eine neue Ver­ord­nung zur Cyber­se­cu­ri­ty für Pro­duk­te – den Cyber Resi­li­ence Act (CRA)  – ver­öf­fent­li­chen. In die­sem Bei­trag erläu­tern wir Ihnen, was das “Gesetz zur Cyber­wi­der­stands­fä­hig­keit” von Pro­duk­ten für Unter­neh­men bedeu­tet, und geben Ihnen schon jetzt Tipps zur Umsetzung.

I. Für wel­che Unter­neh­men ist der CRA relevant?

Der CRA soll Cyber­si­cher­heits­an­for­de­run­gen an digi­ta­le Pro­duk­te und zuge­hö­ri­ge Neben­dienst­leis­tun­gen wäh­rend ihres gesam­ten Lebens­zy­klus regeln. Der Anwen­dungs­be­reich des CRA ist denk­bar weit und wird ins­be­son­de­re für alle Pro­duk­te gel­ten, die bis­her nicht durch ande­re Rege­lun­gen der EU, wie z.B. die dele­gier­te Ver­ord­nung zur Funk­an­la­gen­richt­li­nie (RED) oder die Medi­zin­pro­duk­te­ver­ord­nung (MDR), erfasst wer­den. Neben Hard­ware­pro­duk­ten, wie z.B.  Sen­so­ren und Kame­ras, Smart­cards, mobi­le Gerä­te oder Netz­werk­ge­rä­te wie Rou­ter und Swit­ches, sol­len ins­be­son­de­re auch Soft­ware­pro­duk­te erfasst werden.

II. Wel­ches Ziel hat der CRA?

Ziel des CRA ist die Schaf­fung eines ein­heit­li­chen Sicher­heits­stan­dards für digi­ta­le Pro­duk­te auf dem Euro­päi­schen Markt. Dies soll in einer zuneh­mend ver­netz­ten Umge­bung dem stei­gen­den Bedürf­nis nach Cyber­si­cher­heit und Resi­li­enz der IT-Systeme sowie dem Ver­brau­cher­schutz die­nen. Zugleich möch­te die EU-Kommission die bestehen­den Cyber­si­cher­heits­an­for­de­run­gen an Pro­duk­te im Bin­nen­markt ver­ein­fa­chen und der zuneh­men­den Bedeu­tung von cyber­si­che­ren Pro­duk­ten Rech­nung tragen.

III. Wor­auf müs­sen sich Unter­neh­men einstellen?

Neben grund­le­gen­den Cyber­si­cher­heits­an­for­de­run­gen sol­len Ver­pflich­tun­gen für Unter­neh­men sowie Bestim­mun­gen zur Kon­for­mi­täts­be­wer­tung, zur Noti­fi­zie­rung von Kon­for­mi­täts­be­wer­tungs­stel­len und zur Markt­über­wa­chung fest­ge­legt wer­den. Die Aus­ar­bei­tung des CRA befin­det sich aber noch in einem frü­hen Sta­di­um, wes­halb die kon­kre­ten Rege­lun­gen nicht abseh­bar sind. Die Kom­mis­si­on zieht aktu­ell unter­schied­li­che Ansät­ze in Betracht, insbesondere:

• frei­wil­li­ge Maß­nah­men, wie bspw. frei­wil­li­ge Zertifizierungssysteme,
• “ad hoc”-Regulierungsmaßnahmen, in deren Rah­men bei Auf­tau­chen neu­er Risi­ken die bestehen­den Rechts­vor­schrif­ten ergänzt oder geän­dert würden,
• einen kom­bi­nier­ten Ansatz aus ver­bind­li­chen und unver­bind­li­chen Vor­schrif­ten sowie
• eine all­ge­mei­ne hori­zon­ta­le Regulierung.

IV. Wie geht es weiter?

Am 25.05 endet die öffent­li­che Kon­sul­ta­ti­on der EU-Kommission zum CRA. Sie wird unter Berück­sich­ti­gung der dar­aus resul­tie­ren­den Ergeb­nis­se einen Vor­schlag für einen ent­spre­chen­den Rechts­akt erar­bei­ten. Die Ver­öf­fent­li­chung die­ses Vor­schlags ist für das drit­te Quar­tal 2022 vor­ge­se­hen. Wann und ob die­ser Vor­schlag in Kraft tritt, kann zum jet­zi­gen Zeit­punkt nicht beur­teilt werden.

V. Was soll­ten Unter­neh­men schon jetzt tun?

Unab­hän­gig davon, für wel­chen kon­kre­ten Weg sich der euro­päi­sche Gesetz­ge­ber ent­schei­det, ist klar, dass Unter­neh­men im betrof­fe­nen Sek­tor die erhöh­ten Anfor­de­run­gen an die Cyber­si­cher­heit ihrer Pro­duk­te schon jetzt auf der Agen­da haben soll­ten. Der Trend sowohl zu einer zuneh­men­den Regu­lie­rung durch den Gesetz­ge­ber als auch zu stei­gen­den Erwar­tun­gen von Ver­brau­chern an einen erhöh­ten Sicher­heits­stan­dard digi­ta­ler Pro­duk­te  ist ein­deu­tig. Nicht zuletzt, weil auch die Bedro­hun­gen ste­tig zuneh­men. Um nicht wegen knap­per Umset­zungs­fris­ten ins Hin­ter­tref­fen zu gera­ten, soll­ten Unter­neh­men pro­ak­tiv prü­fen, wel­che neu­en Vor­schrif­ten auf sie zukom­men, und die­se in ihr Cyber­se­cu­ri­ty Com­pli­ance Manage­ment einbeziehen.